再过几天,我们即将迎来
2016
年的元旦。在过去的
2015
年里,对我,对我的团队,对阿里云,都是意义重大的一年。
在
2015
年的一月初,我们正式发布了云盾的第一款收费产品
--
高防
IP
,帮助客户解决
DDoS
的问题。在十一个月之后,我们收获了一份可喜的成绩单。按照
Frost&Sullivan
的统计,我们这一单项产品可能已经占据了大中华区该市场份额的
45%
,这是一份值得欣喜的成绩。同时我们也认为这个市场在云计算的改变下还存在着巨大的成长潜力。
时间回到一年前,在
2014
年十一月初的时候,我们正在筹备
DDoS
防护产品的商业化。当时的产品经理已经做好了一份规划,并且研发团队也已经完成了主要研发工作。等到我
Review
该产品的时候,离产品发布只剩下不到一周的时间。但是我发现产品设计中存在一些很关键的缺陷,会导致产品未来的发展存在问题,因此我斟酌再三后,在临发布前叫停了该项目,回炉重造。这意味着研发团队需要重写很多代码,对团队的士气打击巨大,包括产品经理在内的很多同学都想不通。这是一个艰难的决定,那时我刚接手云盾团队不久,如果结果并不如我所料,那么未来我再说什么话就很难有分量了,因此做这样的决定是需要有勇气的。但我知道我做了一件正确的事情,有时候在错误的路上及时回头,比硬着头皮走下去更需要勇气。
云盾是注定会成功的,我无比坚信这一点。
到了今天,中国
30%
的网站都运行在阿里云上,而云盾为他们提供了具备全球顶尖攻防能力的安全服务。每一天,云盾都会防御超过
1000
次
DDoS
攻击,
2000
万次
Web
攻击,以及超过
2
亿次暴力破解攻击。在不久前爆发的
Redis
未授权访问漏洞攻击、
Joomla 0day
漏洞攻击等造成大面积影响的安全事件上,云盾态势感知都先于其他第三方机构观测到了黑客的攻击行为,并在第一时间对我们的客户进行了预警和防御。我们每天都在进行一场战争,争分夺秒,为了保护我们的客户,而与黑客,与黑色产业进行的战争。
比如云盾高防
IP
,每周都会遇到有客户被
300G
以上的超大攻击压着打。这样的客户,对攻防对抗能力的挑战非常大。在高防
IP
里,接了不少这样的客户。
很多人以为
DDoS
防护拼的就是带宽资源,其实这只是最表面的理解。
DDoS
防护有很多种技术架构可以选择,因为运营商政策的原因,国内与国外的防护技术架构也完全不同,因此很多国际上一流的
DDoS
防护服务商,进中国后不换技术架构也是玩不转的。
比如在国外流行的近源清洗架构,在国内因为运营商的原因无法使用,因此不得不采用在单节点储备数百
G
的大带宽,基于
DNS
做切换的架构。而很多国内的
DDoS
防护服务商在宣传上玩文字游戏,把所有
CDN
节点加起来的总带宽作为防护带宽对外进行宣传,数字看起来有一两个
T
,其实在单点并没有储备足够的大带宽,外强中干,真有大攻击来时其实是不顶用的。我不禁想到了古代打仗动不动就号称大军八十万、上百万的,其实是把后勤和民夫都算上了,真正能打的可能也就二三十万战兵。
DDoS
防护的技术含量其实很深。比如被
300G
攻击压着打的时候,很多
DDoS
防护服务商都无法解决机房网络抖动的问题,有的甚至连网络抖动现象都感知不到。而很多客户对网络抖动是很敏感的,比如一些即时对战的游戏可能就会出现玩家掉线。要解决这个问题,需要优化网络架构,以及调整交换设备的一些关键参数,这远不是一个清洗设备能解决的问题,云盾高防
IP
也是踩了很多坑之后才积累出了这样的经验。
而真正让云盾高防
IP
与众不同的,则是在攻防对抗的关键时刻具备「止血」和「反击」能力。
任何机房的带宽储备都是有极限的,不可能无限扩容。一旦攻击大到云盾的高防机房无法承受时,我们就会动用我们的「核武器」进行止血。我们会时刻监控全球范围内的僵尸网络,这是我们威胁情报能力的一部分。在防御攻击时,我们会精确识别到是哪个僵尸网络正在发起攻击,接下来就会通过逆向私有协议或从运营商层面阻断的方式,直接遏制住该僵尸网络的攻击行为。在好几次攻防对抗的关键时刻,我们都动用了这个「核武器」,成功止血。我想对面的黑客一定会很郁闷,因为他的傀儡机就像肉包子打狗,有去无回了。这样的止血能力,是独一无二的。
除了止血能力外,云盾还具备反击能力。基于云盾的态势感知,我们能从纷杂的访问数据中,抽丝剥茧的分析出黑客的独特行为,并定向对黑客进行反追踪,最终能溯源到黑客的真实身份。在今年十一月初,无锡警方成功破获一起针对阿里云某客户的
DDoS
攻击案件,成功逮捕了犯罪嫌疑人。阿里云会毫不犹豫地配合警方打击网络黑产,为破案提供必要的信息和技术支持。
我国虽然有法律禁止网络攻击行为,但若是从根本上缺乏对网络攻击行为的有效技术监督手段,则也不难理解为何黑客攻击会猖狂如斯,因为犯罪行为没有被发现,就不会有代价。云盾反击能力的存在,就是希望能为客户赋能,对黑客的攻击行为真正起到震慑作用。我们计划在不久后推出一项云盾态势感知产品的增值服务,对黑客的攻击进行溯源和取证,让攻击云盾客户的黑客三思而后行。犯我客户者,虽远必诛。
云盾经历了一年的发展,我们已经对网络空间安全未来的发展趋势看的越来越清楚。抛开所有的商业利益考量,抛开所有的政策标准,单纯从我们的客户,我们的国家,未来真正需要的安全能力来看,我认为最重要的就是三大能力:「感知能力」、「止血能力」、「反击能力」。其中「感知能力」是「止血能力」和「反击能力」的基础,只有先「看见」,先感知到,才有可能做到止血和反击。
也因此,在今年
7
月举行的阿里安全峰会上,云盾正式发布了「态势感知」产品。也由此在行业内掀起了一股「态势感知」的热潮,各大厂商都随后纷纷推出自己的态势感知产品。但与多家厂商的态势感知是观测全网安全动态不同,云盾的「态势感知」,是一种能力,也是一个单独面向企业客户的产品。我们希望能借助全网威胁情报的能力,真正帮助客户感知到每一次黑客的渗透测试和网络攻击,不再存在死角。要做到这一点,我们需要用户授权我们分析各个纬度的数据,最终才能基于态势感知,发展出止血和反击能力。
到今天,云盾已经正式将三大安全能力建设
--
「感知」、「止血」、「反击」
--
作为发展的核心战略,这也是我们真正区别于其他公司的地方。这是我们看到的未来。
我们谈到的止血能力,未来会由云盾里一个非常重要的服务来承载
--
「安全托管」。云盾会提供很多工具帮助客户管理好自己的安全,比如态势感知、安骑士等产品,有的免费,有的收费。但很多时候客户缺乏足够的经验来做出正确的决策。另一方面由于市场上安全人才稀缺,很多企业都难以雇佣到一个合格的安全人才。也正因此,安全托管存在的意义,就是帮助用户做出最正确的安全决策。在很多时候,用户也可以选择充分授权安全托管团队,来管理所有服务器的安全,比如在出现软件漏洞时升级一个补丁。
在上一篇文章里,我曾经谈到了云盾的「保姆式体验」,当时正好遇上了云盾安骑士产品的一个重大故障。因此事后「保姆式体验」这一词,被很多竞争对手拿了过去炒作和放大,他们试图将云盾妖魔化,以此来迷惑客户的眼睛,说云盾总是未经用户许可多做了很多动作。我想今天要讲清楚的是,云盾「一定不会」未经用户授权触碰用户的数据或删改用户的文件,未经用户授权前,我们只提供工具,用户授权后,我们参与决策。
